OT跟IT混在一起，老铁们你们说这玩意儿到底是让安全升级还是倒打一耙？

工业数据采集不是一件小事，咱们往往把工厂的PLC、传感器dou挂在网络里然后再用IT的服务器Zuo存储。

那就像把你家门锁和公司大门连起来一不留神谁Neng闯进来。

1. Modbus TCP没有认证。只要Neng连上IP，谁douNeng读写。

2. MQTT默认开了匿名。别以为没密码就安全。

3. OPC UA也常被配置成None。签名和加密全关掉。

这些dou是攻击者的“敲门砖”。

因为内容太专业，搜索引擎怕误判为广告或乱码。要想上榜，需要有明确关键词、可读性好，还得符合SEO规则。

一开始我们把OT当作独立网段，防火墙后面塞了个隔离墙。

但现在云端服务、边缘计算、工业物联网dou需要跨域通信。

结果漏洞也随之放大——内部网络也被视为外部攻击面。

A. 第三方维护笔记本接入车间交换机。 B. 使用Wireshark抓包，再用Modbus客户端写寄存器。 C. 通过ARP欺骗拿到合法IP，再发命令。 这一步Zui常见，也Zui隐蔽。

hen多人说“内网没人敢动”，其实根本不是问题所在而是缺少监控与日志。

# 拒绝非授权MAC进入交换机槽位

# 使用VLAN分离生产与管理流量

# 用iptables TPROXY把Modbus TCP转发给DPI进程检查功Neng码是否写操作

# 每个主题只Neng发布/订阅自己的组数据；使用证书双向认证避免密码泄露

那天我去巡视，发现有人在维护笔记本上跑Modbus扫描器——哈！完全没贴标签也没锁柜子。 于是我们立即封禁了那台笔记本接入点，并在交换机上设置MAC过滤。 随后通过DPI发现有人尝试写入水位寄存器，却被自动拦截并记录警报。 这才意识到，Ru果没有多层防护，你根本不知道自己Yi经被操纵过一次呢！哈哈～

# Mosquitto ACL
topic write spBv1./group_plant1/NDATA/edge_gateway_01/+   # 发布自己设备数据
topic read  spBv1./group_plant1/NCMD/edge_gateway_01/+    # 接收自己的命令
topic deny  write spBv1./+/+/+                                 # 默认拒绝其他组写
topic read  spBv1./+/NDATA/+                                   # 云端读取所有组数据
topic deny  write spBv1./+/+/+                                 # 云端禁止写任何设备
# 注意顺序hen重要，否则后面的规则永远无效

MOSQUITTO: allow_anonymous false；password_file 正确；ACL文件排版无误。

DPI:`allow_write=false`保证写操作被拦截；速率限制设为每秒10次以上即可防DOS。

MACHINE TOOLS:`use_identity_as_username true`确保凭证直接映射用户，避免密码表管理繁琐。

NTP同步：`ntpd -qg`保证时间一致，否则TLS验证会报错“time skew too big”。笑死我自己啦！不对不对，我说的是NTP而不是ntpd呀~

安全不是单点装甲，而是链路中每一环节dou打好了防线。Ru果你想让数据采集稳稳滴落进数据库，就得先把OT与IT之间的桥梁打牢，让它们彼此信任又相互制约。

    — 写到这里我真得先喝杯咖啡回炉再继续补充啊！ 哈哈～